如何使用 PHP 準備語句從 MySQL 安全地檢索資料？

在PHP 中建立安全的MySQL 準備語句

如果您是使用MySQL 準備語句的PHP 初學者，您會偶然發現需要

如果您是使用MySQL 準備語句的PHP 初學者，您會偶然發現需要安全地從列中檢索資料。為了實現這一目標，讓我們深入了解準備好的語句的世界，確保查詢的安全。

揭開有漏洞的查詢

您目前的SQL 語句雖然簡單，在安全性方面存在缺陷：

$qry = "SELECT * FROM mytable where userid='{$_GET['userid']}' AND category='{$_GET['category']}'ORDER BY id DESC";

這種方法使您的應用程式容易受到SQL 注入攻擊，惡意使用者可以在其中進行操作使用特殊字元進行查詢。

製作安全的準備語句

要免疫您的查詢，讓我們使用準備好的語句：

$stmt = $db->prepare("SELECT * FROM mytable WHERE userid=? AND category=? ORDER BY id DESC");

This語句使用佔位符（“？”）來表示輸入參數。然後，我們將這些參數安全地綁定到實際值：

$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));

透過單獨綁定數據，我們可以防止惡意字元更改我們的查詢。

效能最佳化

您對準備好的語句對效能的影響感到好奇。雖然它們可以為單次執行提供邊際效益，但在頁面或循環中多次執行時，它們真正發揮作用。

準備好的語句會快取查詢計劃，從而無需在每次執行時解析和編譯它。此最佳化可以顯著提高速度，特別是對於複雜查詢。

提取關聯數組

對於傳回多列的查詢，您可以使用下列函數自動綁定到關聯數組：

function stmt_bind_assoc (&$stmt, &$out) { ... }

此實用程式簡化了使用SELECT 傳回的陣列的過程* 查詢。

結論

準備好的語句對於保護 MySQL 查詢和防止 SQL 注入攻擊至關重要。透過實施它們，您可以保護您的應用程式並在多次執行相同查詢時享受效能最佳化。利用準備好的語句的力量來實現安全、高效的資料存取。

以上是如何使用 PHP 準備語句從 MySQL 安全地檢索資料？的詳細內容。更多資訊請關注PHP中文網其他相關文章！